ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1139

术语表: /attack/glossary

Bash 历史

Bash 使用“history”实用程序跟踪用户在命令行上键入的命令。用户注销后,会将历史记录存到到用户的.bash_history文件中。对于每个用户,此文件位于同一位置:~/.bash_history。通常,此文件会记录用户的最近 500 个命令。通常用户在命令行上键入用户名和密码作为程序的参数,然后在注销时将其保存到此文件中。攻击者可以通过查看文件来查找潜在的凭据来滥用此功能。[1]

减轻

有多种方法可以防止将用户的命令历史记录保存到其 .bash_history 文件,包括使用以下命令:set +o historyset -o history再次开始记录;添加unset HISTFILE到用户的。bash_rc 文件中;并执行ln -s /dev/null ~/.bash_history将命令写入/dev/null

发现

监控用户的.bash_history查看时间可以帮助对可疑活动进行告警。虽然用户通常依赖于他们的命令历史,但他们经常通过其他实用程序(如“history”)而不是cat ~/.bash_history等命令来访问此历史记录。